{"id":235599,"date":"2020-09-16T02:11:33","date_gmt":"2020-09-16T00:11:33","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=235599"},"modified":"2020-09-16T07:11:10","modified_gmt":"2020-09-16T05:11:10","slug":"microsoft-365-multi-faktor-authentifizierung-ausgehebelt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/16\/microsoft-365-multi-faktor-authentifizierung-ausgehebelt\/","title":{"rendered":"Microsoft 365: Multi-Faktor-Authentifizierung ausgehebelt"},"content":{"rendered":"

[English<\/a>]Das h\u00f6rt sich nicht gerade gut an. Neu entdeckte\u00a0 Schwachstellen in Microsoft 365 erm\u00f6glichen es, die Multi-Faktor-Authentifizierung zu umgehen. Das haben Sicherheitsforscher von Proofpoint gerade ver\u00f6ffentlicht.<\/p>\n

<\/p>\n

\"\"Sicherheitsforscher von Proofpoint\u00a0 haben k\u00fcrzlich kritische Schwachstellen bei der Implementierung der Multi-Faktor-Authentifizierung (MFA) in Cloud-Umgebungen, in denen WS-Trust<\/a> aktiviert ist, entdeckt. Die Schwachstellen wurden von Proofpoint angek\u00fcndigt und auf der virtuellen Benutzerkonferenz Proofpoint Protect<\/a> demonstriert. H\u00f6chstwahrscheinlich bestehen diese Schwachstellen bereits seit Jahren. Die Sicherheitsforscher haben mehrere Identity Provider (IDP)-L\u00f6sungen getestet, die anf\u00e4lligen L\u00f6sungen identifiziert und die Sicherheitsprobleme gel\u00f6st.<\/p>\n

Diese Schwachstellen k\u00f6nnten es Angreifern erm\u00f6glichen, ein Multi-Faktor-Authentifizierung (MFA) zu umgehen. Dies erm\u00f6glicht es, auf Cloud-Anwendungen zuzugreifen, die das Protokoll verwenden. Das betrifft laut Proofpoing insbesondere Microsoft 365.<\/p>\n

\"Microsoft<\/p>\n

Die Sicherheitsforscher schreiben<\/a>, dass Aufgrund der Art und Weise, wie die Microsoft-365-Sitzungsanmeldung konzipiert ist, ein Angreifer vollen Zugriff auf das Konto des Ziels erhalten k\u00f6nnte. Das schlie\u00dft E-Mails, Dateien, Kontakte, Daten und mehr ein. Dar\u00fcber hinaus k\u00f6nnten diese Schwachstellen auch genutzt werden, um Zugriff auf verschiedene andere von Microsoft bereitgestellte Cloud-Dienste zu erhalten, darunter Produktions- und Entwicklungsumgebungen wie Azure und Visual Studio.<\/p>\n

Die Schwachstellen ergaben sich aus dem \"inh\u00e4rent unsicheren Protokoll<\/a>\" (WS-Trust), wie es von Microsoft beschrieben wurde, in Kombination mit verschiedenen Fehlern in seiner Implementierung durch die IDPs. In einigen F\u00e4llen konnte ein Angreifer seine IP-Adresse f\u00e4lschen, um MFA \u00fcber eine einfache Anfrage-Header-Manipulation zu umgehen. In einem anderen Fall f\u00fchrte die \u00c4nderung des User-Agent-Headers dazu, dass der IDP das Protokoll falsch identifizierte und glaubte, er benutze Modern Authentication. In allen F\u00e4llen protokolliert Microsoft die Verbindung als \"Moderne Authentifizierung\", da der Exploit vom alten zum modernen Protokoll wechselt. In Unkenntnis der Situation und der damit verbundenen Risiken w\u00fcrden die Administratoren und Sicherheitsexperten, die den Tenant \u00fcberwachen, die Verbindung als \u00fcber \"Modern Authentication\" hergestellt ansehen.<\/p>\n

Schwachstellen erfordern einige Forschung, aber sobald sie entdeckt sind, k\u00f6nnen sie automatisiert ausgenutzt werden.\u00a0 Sie sind schwer zu entdecken und erscheinen m\u00f6glicherweise nicht einmal in den Ereignisprotokollen und hinterlassen keine Spuren oder Hinweise auf ihre Aktivit\u00e4t. Da MFA als Pr\u00e4ventivma\u00dfnahme umgangen werden kann, wird es notwendig, zus\u00e4tzliche Sicherheitsma\u00dfnahmen in Form von Erkennung und Behebung von Kontoverletzungen zu ergreifen. Weitere Details lassen sich im Proofpoint-Artikel<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das h\u00f6rt sich nicht gerade gut an. Neu entdeckte\u00a0 Schwachstellen in Microsoft 365 erm\u00f6glichen es, die Multi-Faktor-Authentifizierung zu umgehen. Das haben Sicherheitsforscher von Proofpoint gerade ver\u00f6ffentlicht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,270,426],"tags":[7377,4328],"class_list":["post-235599","post","type-post","status-publish","format-standard","hentry","category-cloud","category-office","category-sicherheit","tag-microsoft-365","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235599","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=235599"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235599\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=235599"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=235599"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=235599"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}